Несмотря на схожесть формулировок, законы по-разному трактуют то, что действительно подпадает под их защиту. В одних странах прямо перечисляют состав персональных данных, в других ограничиваются более гибким (нечетким) определением. Несмотря на то что конкретные формулировки дают больше уверенности, они чаще подвергаются критике за свою инертность и невозможность следовать за современным развитием технологий. Гибкие формулировки, в свою очередь, позволяют адаптироваться к будущим изменениям, но при этом создают неопределенность.
По этим законам данные, которые не входят в состав персональных данных, считаются «неперсональными данными». Такой статус лишает их если не полностью, то большей части защиты со стороны закона. Эта концепция часто применялась в отношении собранных данных и только недавно стала применяться к «обезличенным» данным, из которых намеренно была удалена идентифицирующая информация.
В целях толкования разного рода неточностей в применении законодательства о персональных данных Рабочая группа 29-й статьи при ЕС подготовила Мнение 4/2007 (European Union Article 29 Working Party’s Opinion 4/2007, далее – Группа и Мнение соответственно) о понятии персональных данных, расширяющее правила его толкования. Рабочая группа проанализировала типы данных или информации; отношения между данными и их субъектом; понятие идентифицируемости субъекта; субъекты персональных данных, подпадающие под защиту законодательства.
В рамках данного анализа наиболее интересны аспекты, связанные с идентификацией. Законы о приватности включают такие формулировки, как «ссылающийся на», «относящийся к», «о», «касающийся» субъекта персональных данных или человека. Разница между этими формулировками невелика, так как они так или иначе устанавливают связь между данными и их субъектом.
В Мнении Группы сообщается, что, вероятно, основная работа по установлению связей между персональными данными и субъектом персональных данных сводится к трем элементам – содержанию, задачам и интерпретации результатов.
Содержание данных, пожалуй, самый очевидный из этих трех элементов, так как оно раскрывает информацию о субъекте. Это могут быть его медицинская карта, реквизиты из договора или трудовая книжка. Такая информация, по своей сути, относится к конкретному лицу.
Рассматривая задачи, можно обнаружить, что данные, которые никак не попадают в категорию персональных данных, – например, детализация корпоративных звонков – могут все же являться таковыми, если используются для наблюдения за действиями сотрудника. В этом случае Группа рассматривала такие данные, как персональные